Artigos



3 DESAFIOS PARA GARANTIR A SEGURANÇA EM SISTEMAS DE CONTROLE INDUSTRIAL

Só porque não ouvimos mais falar em Hacks em sistemas de controle industrial não significa que eles não estão acontecendo.

ICS ou Sistemas de Controle Industrial controlam processos físicos no mundo que nos rodeia. Eles são usados ​​em fábricas, usinas de energia, até mesmo prédios de escritórios para controlar produção e operação. Relatórios de Hacks em sistemas de controle industrial roubaram manchetes de notícias, mas os especialistas dizem que há muitos outros ataques que não são realmente divulgados.

Enquanto as empresas que armazenam os dados do cliente são obrigadas (ou logo serão no caso da Europa) a divulgar publicamente as violações de seus sistemas, as violações dos sistemas de controle industrial estão também no radar. Eles não são menos graves do que violações financeiras e sem dúvida: prejudicar a postura da segurança nesses tipos de empresas pode levar à perda de produção ou pior perda de vidas.

Quais são os riscos associados aos sistemas de controle industrial e por que eles são difíceis de proteger? Aqui estão três desafios quando se trata de garantir o ICS, de acordo com Tom Van de Wiele, Consultor Principal de Segurança da F-Secure, há três formas de protegê-los:

1. Sistemas legados que não foram criados para estar online.

Os sistemas de controle industrial são construídos para longos períodos de vida. Muitos em uso hoje foram construídos duas ou três décadas atrás, bem antes que a segurança cibernética fosse uma grande preocupação. Os controles básicos de segurança que consideramos garantidos hoje não foram incorporados a esses sistemas legados – coisas como controle de acesso, autenticação ou criptografia.

2. Difícil de alterar ou atualizar.

Um sistema que custa milhões que foi construído por décadas de uso não será descartado e substituído por um novo, mesmo que seja inseguro. Além disso, as atualizações são desafiadoras – muitas vezes, um ICS precisa estar “ligado” o tempo todo, especialmente quando se trata de sistemas que afetam a infraestrutura crítica. Isso deixa pouco ou nenhum tempo para atualizações e melhorias do sistema. E como observa Van de Wiele as aplicações no mundo ICS são feitas para serem estáticas por um motivo: Necessidade de ser tão determinista quanto possível quando se trata do processo que estão sendo automatizados.

“Você não quer surpresas quando se trata de gerar eletricidade, produzir alimentos ou monitorar níveis de esgoto”, diz ele. “Você quer que o sistema e seu ecossistema funcionem uma vez e para sempre. Os sistemas de correção ou atualização não se encaixam necessariamente na estratégia de segurança do ICS, e isso é perfeitamente de acordo. Mas expor-los ao mesmo tempo não deve ser parte do modelo e infelizmente é o que estamos vendo hoje “.

3. Funcionários não estão na mesma página.

“Infelizmente as empresas de controle industrial ainda têm uma batalha contínua dentro delas: a equipe de TI em relação à equipe de automação industrial”, diz Van de Wiele. Por exemplo, as equipes de TI não estão necessariamente envolvidas na aquisição, instalação e manutenção do ICS, tarefas que normalmente pertencem aos engenheiros de planta. Isso significa que a TI desconhece quais sistemas de controle estão sendo usados ​​e onde – e você não pode proteger o que você não conhece.

Os atacantes que violam esses sistemas com sucesso são capazes de fazê-lo em grande parte por causa de configurações errôneas ou por falta de conhecimento da empresa sobre o que está sendo exposto. A segmentação insuficiente entre TI “office” e TI relacionada ao ICS, bem como sistemas de controle que às vezes acabam diretamente na internet, permitem que os invasores acessem esses sistemas. Além disso o acesso administrativo geralmente não é restrito de forma adequada – problemas comuns incluem alto número de contas de administrador, o uso de contas compartilhadas e o uso de estações de trabalho com direitos de full administrador.

Proteger o ICS é um desafio, mas na era do Ransomware e ameaças em constante evolução e vetores de ataque emergentes é extremamente importante seguir as melhores práticas de segurança. Igualmente importante é a adaptação dessas práticas ao ambiente-alvo, diz Van de Wiele.

“Uma solução não é adequado a todas. Infelizmente, muitas empresas ficam desanimadas sobre o mundo da segurança da informação, não entendendo suas necessidades e restrições. Precisamos ajudá-los a encontrar soluções que funcionem em seus ambientes “.

Aqui estão as dicas de Van de Wiele para proteger sistemas de controle industrial:

1. Compartilhe.

Permita apenas comunicação ponto-a-ponto para coisas que precisam ser acessíveis para outras partes, assim essa comunicação é protegida contra espionagem e falsificação. Coloque todos os outros serviços que giram em torno da comunicação baseada na internet (acesso remoto, e-mail, controle de sistemas) por trás de uma VPN com autenticação de dois elementos ativados, usando também contas personalizadas. Onde são necessários desvios, assegure a compartimentalização usando a virtualização para introduzir hosts de salto ou outros meios. Várias florestas do Active Directory devem existir para compartimentar o suficiente.

2. Conheça a sua superfície de ataque.

Use serviços como varreduras de scan combinadas com ferramentas OSINT para obter uma visão geral do que está sendo exposto, o que potencialmente está tendo risco e o que precisa de proteção. Considere vários pontos de vantagem – por exemplo, documentação de terceiros sobre como algo foi configurado, a infra-estrutura interna e como é percebida, range de endereços IPs e blocos IPs conhecidos ou desconhecidos para a organização.

Possua um processo de gerenciamento de vulnerabilidades que inclui varreduras regulares de componentes ICS não comerciais ou como parte de um laboratório de teste, combinado com mecanismos de detecção e detecção manual. Algo que não possa ser escaneado ou devidamente seguro deve ser segregado do resto da rede com outros controles de segurança na frente dele.

Considere uma abordagem especializada usando hackers éticos para expor o que está em jogo. Isso ajudará você a descrever uma estratégia para proteger a organização. Mais importante ainda, ele permitirá que você acompanhe o progresso feito no fechamento de lacunas de segurança, para que o negócio possa crescer e amadurecer à medida que a nova tecnologia é introduzida no futuro.

3. Tenha em mente que nem todos os problemas são problemas tecnológicos.

Alguns problemas são menos sobre tecnologia e mais sobre pessoas, comunicação, estruturas organizacionais e formas de trabalhar. No caso da equipe de TI em relação à equipe de engenharia, diz Van de Wiele: “Ambos os mundos precisam ser integrados e um trade-off (troca de conhecimento) precisa ser feito entre ser capaz de lidar com a demanda atual no mercado e garantir escalas de TI em uma maneira que não prejudica a postura de segurança da empresa “.

Texto traduzido por: Felipe Santana

 

Referências:

3 Challenges in Securing Industrial Control Systems





Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Parceiros

Av. Dom João VI, 11, Edf. Seta Empresarial, 2º Andar, Brotas | Cep: 40.285-000 | Salvador - Bahia - Brasil
Tel.: 71 3018-7381 / 3018-7381 www.xlogic.com.br - sac@xlogic.com.br

XLOGIC. © 2020. Todos os direitos reservados.